External Supplier Control Obligations

Kontrollpflichten externer
Lieferanten
Resilience
Version 7.0, Dezember 2016
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
1. Geschäftsvorschriften
für Resilience und
Wiederherstellung
Der Lieferant muss für alle wichtigen Prozesse und Dienste effektive
Geschäftskontrollen zur Aufrechterhaltung der Fähigkeiten für
Resilience und Wiederherstellung schaffen, die ausreichend sind, um
Störungen aufgrund von erheblichen Vorfällen zu minimieren. Der
Lieferant bietet seinen Mitarbeitern die ihren jeweiligen Funktionen
angemessenen Weiterbildungen und/oder sorgt für entsprechende
Awareness zum Thema Resilience.
Für Barclays ist es aus betriebswirtschaftlicher (und risikoorientierter) Sicht
erforderlich, erhebliche Prozessstörungen zu vermeiden und/oder in der
Lage zu sein, sich rechtzeitig von ihnen zu erholen, d. h., Barclays muss
hinreichend resilient sein. Barclays muss die Gewissheit haben und in der
Lage sein, seinen Stakeholdern die Gewissheit zu geben, dass angemessene
Geschäftskontrollen und Maßnahmen vorhanden sind, damit erhebliche
Prozessstörungen, die dazu führen, dass Unternehmen von Barclays mehr
Risiken ausgesetzt sind, als diese zu übernehmen bereit sind, möglichst
vermieden werden, und dass mit solchen Störungen im Falle ihres
Eintretens auf die vorab vereinbarte bzw. genehmigte Art und Weise unter
Minimierung ihrer Auswirkungen (ob nun auf Kunden, in finanzieller
und/oder den Ruf betreffender Hinsicht) umgegangen wird.
2. Identifizierung der
Aktivitäten, die
Vorkehrungen in Bezug
auf Resilience bzw.
Wiederherstellung
erfordern
Der Lieferant muss die Anforderungen in Bezug auf Resilience bzw.
Wiederherstellung für wichtige Prozesse und Dienste festlegen, unter
anderem die Zielvorgaben für die Wiederherstellungszeit (Recovery
Time Objectives (RTOs)), die Zielvorgaben für den
Wiederherstellungspunkt (Recovery Point Objectives (RPOs)) und die
Geänderten Leistungsvorgaben für den Betrieb (Revised Operating
Levels (ROLs)) (gemäß nachstehender Definition) entsprechend der
jeweiligen von Barclays bestimmten Resilience-Kategorie. (Siehe
nachfolgende Matrix zur Resilience-Kritikalität)
Der Lieferant muss sich über den Ressourcenbedarf seiner Prozesse und
Dienste in Zeiten von erheblichen Störungen im Klaren sein. Der Lieferant
und Barclays müssen ein gemeinsames Verständnis der Anforderungen zu
Resilience bzw. Wiederherstellung haben.
3. Festlegung von
Resilience- bzw.
Wiederherstellungsplänen
Der Lieferant muss Wiederherstellungspläne einrichten, mit denen
sichergestellt wird, dass die für den Ablauf seiner wichtigen Prozesse
und Dienste in Situationen mit erheblichen Störungen notwendigen
Ressourcen (einschließlich Mitarbeiter, Einrichtungen, Lieferanten, ITAnwendungen und -Infrastruktur) zeitnah verfügbar sind. Der Lieferant
muss die Wiederherstellungspläne jährlich und in Zeiten von
erheblichen Änderungen überprüfen und Barclays eine
Zusammenfassung der Pläne zukommen lassen.
Der Lieferant muss sich über die Wiederherstellungspläne für seine
Prozesse und Dienste in Zeiten von erheblichen Störungen im Klaren sein.
Der Lieferant und Barclays müssen ein gemeinsames Verständnis der
Resilience- bzw. Wiederherstellungspläne haben.
Version 7.0, Dezember 2016
Bezeichnung der
Kontrolle
4. Identifizieren und
Schließen von Lücken bei
der Fähigkeit in Bezug auf
Resilience bzw.
Wiederherstellung
5. Effektives
Vorfallmanagement
Beschreibung der Kontrolle
Der Lieferant testet und validiert sämtliche in den Plänen festgelegten
Bestimmungen zu Resilience und Wiederherstellung, und festgestellte
Mängel muss er sofort abstellen. Um die Einhaltung seiner ResilienceStrategie zu gewährleisten, muss der Lieferant in regelmäßigen
Abständen sicherstellen, dass die für seine Prozesse und Dienste
benötigen Ressourcen (einschließlich Mitarbeiter, Einrichtungen,
Lieferanten, IT-Anwendungen und -Infrastruktur) verfügbar sind, wenn
dies erforderlich ist. Im Einvernehmen mit Barclays kann der Lieferant
Barclays in die Validierung von Plänen des Lieferanten einbeziehen, und
unter Umständen kann vom Lieferanten in regelmäßigen Abständen
verlangt werden, dass er bei der Validierung von Barclays' Plänen
mitwirkt.
Der Lieferant und Barclays vereinbaren den Umfang von Tests und
Validierungen entsprechend der Bedeutung des Dienstes;
durchzuführen sind sie mindestens so häufig, wie in der nachfolgenden
Matrix für die Resilience-Kritikalität angegeben.
Zu sämtlichen Bestimmungen in den Resilience- und
Wiederherstellungsplänen muss es einen aktuellen Validierungsbericht
geben. Der Lieferant muss Barclays sofort nach den Tests eine
Zusammenfassung dieser Validierungsberichte zukommen lassen. Der
Lieferant muss jeden einzelnen bei den Tests festgestellten Fehlerpunkt
erfassen und einen dokumentierten Abhilfeplan erarbeiten und die
Verantwortung für dessen Erfüllung übernehmen; dieser muss allen
abhängigen Beteiligten mitgeteilt und mit diesen vereinbart werden und
mit Unterstützung der Geschäftsleitung, mit Ressourcenbereitstellung,
Finanzierung und der Verpflichtung zur Einhaltung eines vereinbarten
zeitlichen Rahmens bis zum Abschluss verwaltet werden.
Der Lieferant muss Verfahren für die konsequente, effektive
Handhabung, das Management und die Überprüfung von bedeutenden
Ereignissen (d. h. von Ereignissen, die das Potenzial aufweisen,
bedeutende Auswirkungen auf die regulären Abläufe zu haben)
einrichten, die:

Version 7.0, Dezember 2016
etwaige Verhaltensrisikofragen (z. B. im Zusammenhang mit der
Über die Bedeutung
Sämtliche in Plänen festgelegten Bestimmungen zu Resilience und
Wiederherstellung müssen zwecks Identifizierung und Vermeidung von
nicht hinnehmbaren dienstlichen Unzulänglichkeiten getestet und validiert
werden. Damit Dienste hinreichend resilient sind, muss jeder darin
enthaltene Prozess bzw. jeder Dienst nach einer Störung (unabhängig vom
Gefahrenereignis) entweder unbeeinträchtigt weiter funktionsfähig bleiben
oder sich innerhalb festgelegter zeitlicher Vorgaben von der Störung
erholen, oder der Lieferant muss in der Lage sein, (innerhalb festgelegter
zeitlicher Vorgaben) zu einer Alternative für die Ausführung des Prozesses
oder des Dienstes nach gleichem Qualitätsanspruch zu wechseln.
Die Aufbewahrung der bei Validierungstests gesammelten Nachweise ist
ebenfalls wichtig, da diese möglicherweise für Audits bzw. regulatorische
Überprüfungen erforderlich sind.
Der Lieferant muss sich über seine Verfahren für die Handhabung und
Verwaltung seiner Dienste in Zeiten von bedeutenden Ereignissen oder
Krisensituationen im Klaren sein. Der Lieferant und Barclays müssen ein
gemeinsames Verständnis des unternehmensübergreifenden Dialogs und
der betrieblichen Eskalationsverfahren bei bedeutenden Ereignissen und
Krisensituationen haben.
Bezeichnung der
Kontrolle
Beschreibung der Kontrolle
Über die Bedeutung
Einhaltung regulatorischer Vorschriften oder Auswirkungen auf
Kunden oder Märkte) behandeln, die sich durch Prozessstörungen
ergeben,

klare Vereinbarungen zum unternehmensübergreifenden Dialog
und zu betrieblichen Eskalationsverfahren beinhalten, bis hin zu
Barclays und zur Aktivierung von Verfahren des
Krisenmanagements; und

die spätere Erfassung und Meldung des Vorfalls sicherstellen.
Der Lieferant muss Verfahren für die konsequente, effektive
Handhabung und das Management von Krisensituationen (wenn
erhebliche Auswirkungen eingetreten oder unvermeidbar sind)
einrichten, die:
6. Meldung zum Stand
der Resilience bzw.
Wiederherstellung
Version 7.0, Dezember 2016

die Einbeziehung von leitenden Angestellten aus allen betroffenen
Bereichen zur Bildung eines geeigneten Krisenleitungsteams
sicherstellen, also eines Teams, das die notwendigen
Weisungsbefugnisse für alle erforderlichen Aktivitäten und
Entscheidungen zur Bewältigung der vorliegenden Krise hat; und

die Verpflichtung beinhalten, in regelmäßigen Abständen
planmäßige Übungen zur Aktivierung und zum Ablauf des
Krisenmanagements durchzuführen, einschließlich geeigneter
Nachbesprechungen und Maßnahmen im Zusammenhang mit
gezogenen Lehren, um Prozessverbesserungen zu ermöglichen.
Der Lieferant muss die Fähigkeit zur Koordinierung der Erstellung
regelmäßiger Berichte über den allgemeinen Zustand der Resilience
bzw. Wiederherstellung des Dienstes aufrechterhalten, die Barclays und
der Unternehmensleitung vorgelegt werden. In den Berichten müssen
Angaben zum Vergleich der tatsächlichen Resilience-Fähigkeit mit den
vorgeschriebenen Resilience- und Wiederherstellungsanforderungen
sowie zum Stand des Abhilfeprogramms enthalten sein.
Die Berichte müssen einen Soll-Ist-Überblick zur Resilience bieten, nebst
Angaben zum Fortschritt bei Abhilfemaßnahmen. In den Berichten müssen
Änderungen der angestrebten wie auch der tatsächlichen Fähigkeit (mit
Trendbestimmung) zum Ausdruck kommen.
Version 7.0, Dezember 2016
Matrix der Resilience-Kritikalität
Die Mindestanforderungen von Barclays zur Resilience, Wiederherstellung und Validierung sind durch die Resilience-Kategorie definiert, die Barclays einem Lieferanten (0-3)
zuweist. Eine höhere Resilience-Kategorie (d. h. eine niedrigere Zahl) stellt entsprechend der Bedeutung des Dienstes höhere Ansprüche an die Resilience bzw. Wiederherstellung.
Der Lieferant und Barclays müssen die Zielvorgabe für die Wiederherstellungszeit (Recovery Time Objective (RTO)), die Zielvorgabe für den Wiederherstellungspunkt (Recovery
Point Objective (RPO)) und die Validierungsanforderungen für den Dienst bestimmen, die in der Resilience-Kategorie mit der höchsten Kritikalität (Kategorie 0) definiert sind und
die mindestens den in der folgenden Übersicht zusammengefassten Anforderungen entsprechen. Die Geänderte Leistungsvorgabe für den Betrieb (Revised Operating Level (ROL))
muss zwischen Barclays und dem Lieferanten vereinbart werden.
Resilience-
0
1
2
3
RTO
bis zu 5 Minuten
bis zu 4 Stunden
bis zu 12 Stunden
bis zu 24 Stunden
RPO
bis zu 5 Minuten
bis zu 30 Minuten
bis zu 30 Minuten
bis zu 24 Stunden
nach Vereinbarung zwischen
nach Vereinbarung zwischen
nach Vereinbarung zwischen
nach Vereinbarung zwischen
dem Lieferanten und Barclays
dem Lieferanten und Barclays
dem Lieferanten und Barclays
dem Lieferanten und Barclays
12 Monate
12 Monate
12 Monate
12 Monate
Kategorie
ROL
Test-/
Validierungsintervall
Definitionen
„Zielvorgabe
für
den
Wiederherstellungspunkt“
Version 7.0, Dezember 2016
bezeichnet den angestrebten Stand der Datenverfügbarkeit zu Beginn des Wiederherstellungsprozesses. Sie ist ein Maß für den in
einem Wiederherstellungsfall maximal hinnehmbaren Datenverlust.
„Zielvorgabe
für
Wiederherstellungszeit“
die
„Geänderte Leistungsvorgabe
für den Betrieb”
Version 7.0, Dezember 2016
bezeichnet die angestrebte Zeitdauer zwischen einem unerwarteten Ausfall oder einer unerwarteten Unterbrechung und der
Wiederaufnahme des Betriebs bei vereinbarten Leistungsniveaus.
bezeichnet die zur Aufrechterhaltung
Mindestressourcenumfänge.
der
vereinbarten
Leistungsniveaus
in
betrieblichen
Abläufen
erforderlichen

Download Report